www.syntagma.org

Syntagma.org

PROTECCIÓN DE DATOS Luis Felipe López Álvarez

Madrid, 20 de marzo de 2018

www.syntagma.org

Datos de personas

físicas

Tratamientos lícitos: fin

legítimo, datos adecuados

(proporciona-les) a la finalidad

Lealtad Derechos (ARCO) y

medidas de seguridad

TRANSPAREN-CIA

SIEMPRE: deber de información

¿De qué hablamos?

www.syntagma.org

Finalidades lícitas sin consentimiento

l Concretas:

l Cumplimiento de

obligaciones legales

l Protección de intereses

vitales de los interesados

l Misiones realizadas en

interés público o en el

ejercicio de poderes

públicos

l Genéricas:

l Intereses legítimos del

responsable: punto de

fricción

l Contratación o medidas

precontractuales

(consentimiento implícito)

l Finalidades compatibles.

www.syntagma.org

Adecuación o proporcionalidad

Datos mínimos

estricta-mente

necesa-rios

para la finalidad

En caso de que exista, ¿cómo

afecta el consentimiento?

www.syntagma.org

LEALTAD

Respetar los derechos de los

titulares de los datos.

Adoptar medidas de seguridad.

Conservación y exactitud

www.syntagma.org

EL DEBER DE INFORMAR

¿Qué información hay que

facilitar y cuándo? (arts.

12-14 RGPD)

www.syntagma.org

Deberes de información de los responsables

Deben informar a (RGPD arts. 11.2, 12 y 13):

Interesados: anonimización, tratamientos, cesiones.

Otros responsables: olvido, modificaciones

A la autoridad de control: violaciones de seg., consultas, NCV

(BCR), TID

www.syntagma.org

Deberes de información de los encargados del

tratamiento Deben informar al responsable:

- de cualquier cambio previsto en la incorporación o sustitución

de otros encargados, dando así al responsable la oportunidad de

oponerse a dichos cambios (RGPD art.28.2).

- del deber de tratar los datos siguiendo instrucciones distintas a

las del responsable (RGPD art.28.3.a).

- si, en su opinión, una instrucción infringe el RGPD u otras

disposiciones en materia de protección de datos de la Unión o de

los Estados miembros. Esta información resultará esencial si

quiere evitar que se le deriven responsabilidades (RGPD

art.28.3.h).

www.syntagma.org

l Deben informar a la

autoridad de control de las

medidas adoptadas y de las

razones de las mismas, en

caso de infracción del código

de conducta por un

responsable o encargado del

tratamiento (RGPD art.41.4).

Deberes de información de los organismos

de supervisión

www.syntagma.org

Deberes de información de las autoridades

de control

l Múltiples

l Informes

l Tratamientos

transfonterizos

l Interesados

l etc.

www.syntagma.org

REQUISITOS FORMALES

Guía para el cumplimiento del

deber de informar

Concisa, transparente, inteligible

y de fácil acceso

www.syntagma.org

CONTENIDO DE LA INFORMACIÓN

Desbordamiento de la

LOPD

Depende de como se

hayan obtenido los datos

11 aspectos comunes

www.syntagma.org

CONTENIDO DE LA INFORMACIÓN

derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada

Datos obtenidos de los interesa-dos

www.syntagma.org

CONTENIDO DE LA INFORMACIÓN

– las categorías de datos personales de que se trate; – la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes accesibles al público

Datos NO obtenidos de los interesa-dos

www.syntagma.org

Complicado ¿verdad?

l El truco del Allium

cepa: la información

por capas

(recomendado)

www.syntagma.org

Información multinivel

l presenta una información básica en un primer

nivel, de forma resumida, en el mismo

momento y en el mismo medio en que se

recojan los datos

l remite a la información adicional en un

segundo nivel, donde se presentarán

detalladamente el resto de las informaciones,

en un medio más adecuado para su

presentación, comprensión y, si se desea,

archivo. l (pág. 5 Guía deber informar. AEPD)

www.syntagma.org

1ª Capa

Source: OECD STI Outlook 2016

Información básica

sobre Protección de

Datos

Responsable ABCDE infraestructuras, S.A.

+ info...

Finalidad Gestión de reclamaciones

+ info...

Legitimación Satisfacción de intereses legítimos de 3º

+ info...

Destinatarios Otras empresas del grupo ABCDE

+ info...

Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como

se explica en la información adicional + info...

Información adicional Puede consultar la información adicional y detallada sobre Protección

de Datos en nuestra página web: http://www.abcde.com/protc.datos

www.syntagma.org

2ª Capa: RESPONSABLE EJEMPLO

¿Quién es el Responsable del tratamiento de sus datos?

Identidad: ABCDE Infraestructuras S.A. - CIF: A01234566

Dir. postal: Calle del Túnel Ecológico, nro. 5 - 28000 – Madrid

Teléfono: 912345678

Correo elect: info@abcde.com

Contacto con el Delegado de Protección de Datos:

https://www.abcde.com/protecciondatos/dpd/

www.syntagma.org

2ª Capa: RESPONSABLE

Identidad y datos de contacto del Responsable y, en su caso, de

su representante

Datos de contacto del Delegado de Protección de Datos, en su

caso

Resulta preferible proporcionar siempre una dirección postal

localizada, sin perjuicio de que se facilite, además, un apartado

postal.

La dirección electrónica puede ser, por ejemplo, una dirección de

correo electrónico, o bien una URL que acceda a una aplicación o

formulario electrónico para contactar.

www.syntagma.org

2ª Capa: RESPONSABLE EJEMPLO

¿Quién es el Responsable del tratamiento de sus datos?

Identidad: ABCDE Infraestructuras S.A. - CIF: A01234566

Dir. postal: Calle del Túnel Ecológico, nro. 5 - 28000 – Madrid

Teléfono: 912345678

Correo elect: info@abcde.com

Contacto con el Delegado de Protección de Datos:

https://www.abcde.com/protecciondatos/dpd/

www.syntagma.org

2ª CAPA: FINALIDAD fines determinados,

explícitos y legítimos

cambio del fin

No incluir finalidades demasiado genéricas o inespecíficas

decisiones automatizadas

elaborar perfiles

Consecu-encias

www.syntagma.org

2ª Capa: FINALIDAD EJEMPLO

¿Con qué finalidad tratamos sus datos personales?

Tratamos la información que nos facilitan las personas interesadas con el

fin de gestionar las quejas y reclamaciones que nos presentan.

Elaboraremos un “perfil del reclamante recalcitrante”, con la información

facilitada. No se tomarán decisiones automatizadas con base en dicho

perfil.

¿Por cuánto tiempo conservaremos sus datos?

Los datos personales proporcionados se conservarán durante el tiempo

imprescindible para atender la queja o reclamación.

www.syntagma.org

2ª CAPA: LEGITIMACIÓN

⇨ejecución de un contrato ⇨cumplimiento de una obligación legal

⇨misión en Interés público o ejercicio de

Poderes Públicos

⇨interés legítimo del Responsable, o de un

tercero

⇨consentimiento del interesado

www.syntagma.org

2ª Capa: LEGITIMACIÓN EJEMPLO

¿Cuál es la legitimación para el tratamiento de

sus datos?

“La base legal para el tratamiento de sus

datos es atender su interés legítimo en la

presentación y resolución de la queja o

reclamación que ha presentado”.

www.syntagma.org

2ª CAPA: DESTINATARIOS

Determinados o no (categorías)

Categorías Encargados Amparo de

las TI

Garantías de las TI

www.syntagma.org

2ª Capa: DESTINATARIOS EJEMPLO

¿A qué destinatarios se comunicarán sus datos?

Los datos se comunicarán a otras empresas del grupo empresarial

Dragados para fines administrativos internos.

Drace dispone de Normas Corporativas Vinculantes, aprobadas por el

Comité Europeo de Protección de Datos y disponibles en:

https://www.brace.com/protecciondatos/bcr/

Brace contrata su infraestructura virtual según un modelo de

“computación en la nube” a través de AWS y al amparo del acuerdo EU-

US Privacy Shield. - Información disponible en:

https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4

www.syntagma.org

2ª CAPA: DERECHOS

⇨PARCOL ⇨modo de ejercitarlos

⇨derecho a retirar el

consentimiento

⇨presentar reclamaciones ante la

aepd

www.syntagma.org

2ª Capa: DERECHOS EJEMPLO

¿Cuáles son sus derechos cuando nos facilita sus datos?

Cualquier persona tiene derecho a obtener confirmación sobre si en Drace estamos

tratando datos personales que les conciernan, o no.

Las personas interesadas tienen derecho a acceder a sus datos personales, y a solicitar

la rectificación de los datos inexactos o, en su caso, su supresión cuando, entre otros

motivos, los datos ya no sean necesarios para los fines que fueron recogidos.

En determinadas circunstancias, los interesados podrán solicitar la limitación del

tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o

la defensa de reclamaciones.

En determinadas circunstancias y por motivos relacionados con su situación particular,

los interesados podrán oponerse oponerse al tratamiento de sus datos. Drace dejará de

tratar los datos, salvo por motivos legítimos imperiosos, o el ejercicio o la defensa de

posibles reclamaciones.

www.syntagma.org

2ª CAPA: PROCEDENCIA

⇨cuando no se recaben de los interesados ⇨medios: correo postal y electrónico,

mensajería intantánea

⇨carga de la prueba

⇨no usar locuciones telefónicas

www.syntagma.org

2ª Capa: PROCEDENCIA EJEMPLO

¿Cómo hemos obtenido sus datos ?

Los datos personales que tratamos en ABCDE proceden de otras

empresas del grupo ABCDE.

Las categorías de datos que se tratan son:

o Datos de identificación

o Códigos o claves de identificación

o Direcciones postales o electrónicas

o Información comercial

o Datos económicos

No se tratan datos especialmente protegidos.

www.syntagma.org

l NUEVOS DERECHOS Y NUEVAS FORMAS

DE EJERCICIO

www.syntagma.org

PLAZOS

l PLAZO GENERAL DE UN

MES AMPLIABLE OTROS

DOS. SUPUESTOS NO

AMPLIABLES

l POSIBILIDAD DE

INTRODUCIR

LIMITACIONES A ESTOS

DERECHOS

www.syntagma.org

MEDIOS PARA SU EJERCICIO

l Se deben proporcionar

medios electrónicos pero

no resultan obligatorios

l Colisiones entre la LPAC y

el RGPD

l Deber de identificar al

interesado

l Gratuita

www.syntagma.org

REFERENCIA ESPECÍFICA A NUEVOS

DERECHOS

l Olvido l Limitación

l Portabilidad

www.syntagma.org

Responsabilidad pro activa

l El responsable

sigue siendo

RESPONSABLE

l Evaluación del

riesgo previa al

tratamiento

l Códigos de conducta y

mecanismos de

certificación

www.syntagma.org

La seguridad de los tratamientos

l El DPD l Registro de

actividades de

tratamiento

l Evaluaciones de impacto

www.syntagma.org

La seguridad de los tratamientos

Consejos de la AEPD:

1. Comience por los ficheros inscritos (servicio de

copia de la inscripción).

2. Evaluación de riesgos: herramienta FACILITA

3. Necesidad de registro de actividades

4. Necesidad de EIPD y posible consulta a la AEPD

5. Confidencialidad (acceso), Integridad

(modificaciones), disponibilidad (eliminación,

secuestro)

6. Ejercicio de derechos

www.syntagma.org

Syntagma.org Madrid, 20 de marzo de 2018